Trojaner in *.cab

#1 Hallo Zusammen, habe auch ein Problem mit Trojanern im Archiv:

Antivir hat folgendes gefunden: Kann aber nicht reparieren oder löschen.
Was kann ich tun, einfach die Datei info6_s.cab löschen: Geht das ohne Probleme.

Vielen Dank für Eure Hilfe im voraus

Bis bald



C:\





hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
info6_s.cab
ArchiveType: CAB (Microsoft)
--> Information.exe
[FUND!] Ist das Trojanische Pferd TR/Dialer.T.2
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

#2 starte deinen PC mal im abgesichertem modus!

das geht so:
Start--->ausführen--->"msconfig" eingeben--->dann unter "allgemein" Diagnose start wählen--->dann neustarten

wennde dann scannst sollte es gelöscht werden können!
__________
there's no place like 127.0.0.1

#3 Habe ich bereits versucht:

Vorher die Systemwiederherstellung ausgeschaltet, dann unter abgesicherten Modus komplett neu gescannt.
Leider keine Änderung ! Immer noch dieselbe Meldung.

Hab mal in den anderen Beiträgen nachgelesen,
bekomme die verflixte Wanrmeldung von Antivir nicht weg, immer dieselbe Meldung: Archiv dateien werden nicht repariert oder gelöscht.
Anbei das neue Log file.
Sieht doch eigentlich ok aus oder?

Kann mir da noch mal einer weiterhelfen?

Danke


Logfile of HijackThis v1.98.0
Scan saved at 01:39:18, on 08.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\Downloads\Programme\antivir\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Iomega\Tools\IMGICON.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\Downloads\Programme\antivir\AVGUARD.EXE
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\Downloads\Programme\antivir\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\ZipToA.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Dokumente und Einstellungen\User 1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\User 1\Eigene Dateien\Downloads\Programme\antivir\AVGNT.EXE /min
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega-Symbole.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1965741B-93D6-4DAF-AED3-EC678C3808D4}: NameServer = 81.173.194.68 213.168.112.60

#4 Sicherheitsbewusste Anwender können eine Einstellung vornehmen, die Windows befiehlt, Inhalte der Auslagerungsdatei beim Herunterfahren des Systems zu löschen.

Dazu führen Sie folgende Menübefehle aus:

Start -> Einstellungen -> Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Lokale Richtlinien -> Sicherheitsoptionen

Hier können Sie die Option "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" aktivieren.

Dann scanne noch mal mit dem Antivirus im abgesicherten Modus

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hey Sabina,

kann ja schon sein, dass ich nicht so der Crack auf dem Gebiet bin:
Sorry, aber habe deinen Pfad nicht gefunden (XP).
Bin dann auf Systemsteuerung, System, Erweitert, virtuellen Speicher und habe dann eingegeben: keine Aulsagerungsdatei.
Danach nochmal im abgesicherten Modus gescannt und ...... danach gleiche Fehlermeldung wie bisher...
Was kann man denn jetzt noch tun???
Danke für Deine Hilfe

#6 Hallo Beginner_4
Lade bitte die mwav.exe und scanne <alle Dateien<
Poste dann, ob der Scanner was gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben)

Gehe zu
<HKEY_LOKAL_MACHINE
<System
<CurrentControlSet
<SessionsManager
<MemoryManagment

dort auf der rechten Seite
veraenderst du den Wert :
ClearPage File in eine 1
Dissable PagingExe ebenfalls in eine 1

(das runterfahren vom Computer wird nun ein wenig laenger dauern)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit